Правительственная команда реагирования на чрезвычайные события Украины CERT-UA получила уведомление о рассылке государственным органам электронных писем с темой «снабжение». В приложении к ним содержался защищенный паролем архив «ДВТПРОВТ.rar» с файлом-ярлыком «4222 ОП МОУ на письмо ДВТПРОВТ от 09.03.22 403-5-1324.rtf.lnk» и EXE-файл с названием «МО 4222 на письмо ДВТПРОВТ от 09.03.22 403-5-1324.rtf», запускающийся при открытии LNK-файла. После этого компьютер жертвы поражала модульная вредоносная программа SPECTR, включающая: SPECTR.Usb, SPECTR.Shell, SPECTR.Fs, SPECTR.Info, SPECTR.Archiver и другие компоненты.
«Атака совершена группой UAC-0020 (Vermin), деятельность которой ассоциирована с так называемыми органами безопасности так называемой «ЛНР». Заметим, что для атаки 17.03.2022 использована инфраструктура, которая применялась группой еще в июле 2019 года. Следует добавить, что серверное оборудование группы UAC-0020 (Vermin) уже много лет размещается на технической площадке луганского провайдера vServerCo (AS58271)», — сказано в публикации.
CERT-UA ранее сообщила о рассылке электронных писем, имитирующих сообщения от UKR.NET и содержащих QR-код, в котором закодирован «укороченный» URL-адрес. После перехода по ссылке пользователь попадал на страницу, имитирующий страницу изменения пароля UKR.NET. Вводимые пользователем данные с помощью HTTP POST-запроса отправлялись затем на веб-ресурс, развернутый злоумышленниками на платформе Pipedream.